|
Название: Реальные IP для клиентов. Отправлено: rusol от 25 Ноября 2009, 11:18:18 Здраствуйте, как правильно организовать выделенные адреса клиентам? Помимо правила в PF на интерфейсе обязательно делать алиас с указанным адресом? Раньше юзал ipnat, дак там не нужно было алиасы создавать на каджий IP.
Название: Re: Реальные IP для клиентов. Отправлено: Andrey Zentavr от 25 Ноября 2009, 12:07:12 Админ одной из сетей города-героя Запорожье мне утерждал что для этого прописывать реалИП на интерфейсе ненужно. Он вроде юзает PF binat для этого.
Я же считаю, что реальный ИП пользователя должен быть у пользователя, а не пробрасываться всякими там натами. Посему отдаю реалИПы с помошью PPPoE Название: Re: Реальные IP для клиентов. Отправлено: rusol от 25 Ноября 2009, 12:09:48 Ну я тоже настроил с помощью binat и на интерфейсе не прописывал, тестил, все работает вроде, работаем без авторизаторов, посему pppoe для нас - не выход. А интересно, кто еще как предоставляет внешние адреса клиентам?
Название: Re: Реальные IP для клиентов. Отправлено: Andrey Zentavr от 25 Ноября 2009, 13:51:33 работаем без авторизаторов, посему pppoe для нас - не выход. Ну так ПППоЕ и работает без авторизатора.Название: Re: Реальные IP для клиентов. Отправлено: rusol от 25 Ноября 2009, 14:23:28 Я имел в виду, мы работаем без всяких авторизаторов и вводить такое в планах нету. :)
Название: Re: Реальные IP для клиентов. Отправлено: Elisium от 25 Ноября 2009, 15:17:27 Для раздачи белых ипов используем бинат в ПФ ..
Быстро дешево удобно))) От клиентов жалоб на какие то несовместимости не поступало ... Название: Re: Реальные IP для клиентов. Отправлено: rusol от 25 Ноября 2009, 16:21:05 Спасибо :)
Название: Re: Реальные IP для клиентов. Отправлено: rusol от 25 Ноября 2009, 19:07:29 Все таки беда какая-то, перестает работать интернет у клиентов, которых включен выделенный ip через binat, вот конфиг:
Код: set limit states 128000 может я в конфиге чето не так сделал. Название: Re: Реальные IP для клиентов. Отправлено: goletsa от 25 Ноября 2009, 19:13:41 Все таки беда какая-то, перестает работать интернет у клиентов, которых включен выделенный ip через binat, вот конфиг: Код: set limit states 128000 может я в конфиге чето не так сделал. Сдвиньте правила nat ниже binat'а Название: Re: Реальные IP для клиентов. Отправлено: rusol от 26 Ноября 2009, 13:09:28 Сдвинул, уже пол суток работает нормально, спасибо, у меня в ipnat тоже были сдвинуты, а здесь почему-то упустил этот момент.
Название: Re: Реальные IP для клиентов. Отправлено: andreit2 от 26 Декабря 2009, 17:59:27 Я же считаю, что реальный ИП пользователя должен быть у пользователя, а не пробрасываться всякими там натами. Посему отдаю реалИПы с помошью PPPoE Я тоже выдаю пользователю реалИПы с помощью РРРоЕ, но у меня впрос, как ети реалИПы увидеть с внешнего мира. Пробовал добавлять правила в ipfw то скорость не режется. Наверное надо сдвинуть разрешающие правила ниже? Название: Re: Реальные IP для клиентов. Отправлено: Aivanzipper от 25 Января 2010, 15:29:09 Попробовал дать белый ип бината и алиаса на внешней сетевухе - получилось. Теперь хочется дать белый ип посредством его прописывания клиенту в биллинге, т.е. чтобы юзер в свойствах PPPOE-подключения видел свой внешний адрес. Я так понимаю, алиас нужно убрать, бинат оставить и просить верхнего провайдера прописать на своем шлюзе маршрут для этих адресов с указанием гетевея в виде моего сервера. Либо если стоит свой маршрутизатор, то на нем. Я все правильно понимаю? :)
Название: Re: Реальные IP для клиентов. Отправлено: goletsa от 25 Января 2010, 16:34:45 Бинат убирается.
Кусок подсети надо промаршрутизировать на PPPoE сервер. Название: Re: Реальные IP для клиентов. Отправлено: Aivanzipper от 25 Января 2010, 16:53:10 Да, точно - бинат не нужен. Нужна маршрутизация и все, чтобы верхний шлюз знал куда ломиться
Название: Re: Реальные IP для клиентов. Отправлено: poxy. от 27 Января 2010, 12:14:47 Прошу подсказать и не пинать)
в сети все на авторизаторах ,всем выданы по dhcp статические адреса пытаюсь пробросить на адрес 10.10.10.84 внешний 1.2.3.4 для этого в настройках добавил алиас,после в pf.conf перед правилами ната binat on em0 from 10.10.10.84 to any ->1.2.3.4 (em0 смотрит в мир) фаервол из подставки ноудени "Фаервол, предусматривающий реальные ip клиентов, управление скоростями, снятие статистики ядром NoDeny." алиасов на сетевой нет в чем может быть проблема ?Всем заранее спасибо! Название: Re: Реальные IP для клиентов. Отправлено: Aivanzipper от 27 Января 2010, 12:55:02 Ну так добавь алиас на внешнюю сетевую, а то я так понял ты добавил алиас пользователю в админке ::)
Название: Re: Реальные IP для клиентов. Отправлено: poxy. от 27 Января 2010, 12:58:57 да в админке ,я просто немного запутался с тем нужно ли добавлять алиас на сетевую ? добавить на внешнюю тот ip который пробрасываю?
Название: Re: Реальные IP для клиентов. Отправлено: Aivanzipper от 27 Января 2010, 13:25:50 да, на внешнюю (ifconfig xxх inet 1.2.3.4 netmask xxx.xxx.xxx.xxx alias)
а алиас в админке убери Название: Re: Реальные IP для клиентов. Отправлено: poxy. от 27 Января 2010, 13:28:05 Пасибо!!!
Название: Re: Реальные IP для клиентов. Отправлено: Unix от 13 Сентября 2010, 09:44:11 Есть определное неудобство с binat. Дело в том, что внутресетевые абоненты не могут потом заходить через проброшеные белые адреса других клиентов, например если это сайт или игровой сервер и т.д. Скажу даже более они даже не пингуют друг друга.
Название: Re: Реальные IP для клиентов. Отправлено: Elisium от 13 Сентября 2010, 11:50:16 Разьясняй юзерам, что внутри сети нужно ходить только по внутренним адресам, а юзеры НЕ из сети должны соединяться только с выданым белым ипом.
Всего одна фраза и неудобства почти нет ) Название: Re: Реальные IP для клиентов. Отправлено: Unix от 13 Сентября 2010, 12:07:18 Некорые игровые сервера работают только на 1 интерфейс, по этому по локальному айпишнику коннекта нету вообще, а на белый айпишник проброшеный через бинат не попадаешь(
Название: Re: Реальные IP для клиентов. Отправлено: stix от 13 Сентября 2010, 13:11:52 можно все, если захотеть очень сильно.
алиасы, транки и дело в шляпе Название: Re: Реальные IP для клиентов. Отправлено: Elisium от 14 Сентября 2010, 13:17:56 Некорые игровые сервера работают только на 1 интерфейс, по этому по локальному айпишнику коннекта нету вообще, а на белый айпишник проброшеный через бинат не попадаешь( На ифейс с внутренним ипом вешаешь алиасом внешний ип/32 Название: Re: Реальные IP для клиентов. Отправлено: Unix от 14 Сентября 2010, 22:27:50 Некорые игровые сервера работают только на 1 интерфейс, по этому по локальному айпишнику коннекта нету вообще, а на белый айпишник проброшеный через бинат не попадаешь( На ифейс с внутренним ипом вешаешь алиасом внешний ип/32 И что это даст? Я так и делал всегда. Название: Re: Реальные IP для клиентов. Отправлено: hayarm от 17 Сентября 2010, 18:43:11 так и никто поподробнее ничего не сказал, в док.е ест пример, я сделал все как написанно, но неработает:
Название: Re: Реальные IP для клиентов. Отправлено: stix от 17 Сентября 2010, 19:19:46 так и никто поподробнее ничего не сказал, в док.е ест пример, я сделал все как написанно, но неработает: я надеюсь ip хоть свои ставил? )Название: Re: Реальные IP для клиентов. Отправлено: ser970 от 17 Сентября 2010, 20:12:40 так и никто поподробнее ничего не сказал, в док.е ест пример, я сделал все как написанно, но неработает: где-то так проброс ip используя ipfw_nat #через 1,1,1,1 выпускаем всю сеть 2.2.2.2 это будет белый апи для 192,168,2,2 2.2.2.3 это будет белый апи для 192,168,2,3 № это номер павил в фаере rc.conf ifconfig_bge0="inet 1.1.1.1 netmask маска " ifconfig_bge0_alias0="inet 2.2.2.2 netmask 255.255.255.255" ifconfig_bge0_alias1="inet 3.3.3.3 netmask 255.255.255.255" rc.firewall #проброс апи 2,2,2,2 на 192,168,2,2 ipfw nat 10 config log ip 2.2.2.2 reset same_ports redirect_addr 192.168.2.2 2.2.2.2 ipfw add № 10 ip from 192.168.2.2 to any out xmit bge0 ipfw add № 10 ip from any to 2.2.2.2 in recv bge0 #проброс апи 3,3,3,3 на 192,168,2,3 ipfw nat 12 config log ip 3.3.3.3 reset same_ports redirect_addr 192.168.2.3 3.3.3.3 ipfw add № 12 ip from 192.168.2.3 to any out xmit bge0 ipfw add № 12 ip from any to 3.3.3.3 in recv bge0 #для остальных только нат ipfw nat 100 config log if bge0 reset same_ports deny_in ipfw add № nat 100 ip from any to any via bge0 Название: Re: Реальные IP для клиентов. Отправлено: hayarm от 18 Сентября 2010, 16:49:02 так и никто поподробнее ничего не сказал, в док.е ест пример, я сделал все как написанно, но неработает: где-то так проброс ip используя ipfw_nat #через 1,1,1,1 выпускаем всю сеть 2.2.2.2 это будет белый апи для 192,168,2,2 2.2.2.3 это будет белый апи для 192,168,2,3 № это номер павил в фаере rc.conf ifconfig_bge0="inet 1.1.1.1 netmask маска " ifconfig_bge0_alias0="inet 2.2.2.2 netmask 255.255.255.255" ifconfig_bge0_alias1="inet 3.3.3.3 netmask 255.255.255.255" rc.firewall #проброс апи 2,2,2,2 на 192,168,2,2 ipfw nat 10 config log ip 2.2.2.2 reset same_ports redirect_addr 192.168.2.2 2.2.2.2 ipfw add № 10 ip from 192.168.2.2 to any out xmit bge0 ipfw add № 10 ip from any to 2.2.2.2 in recv bge0 #проброс апи 3,3,3,3 на 192,168,2,3 ipfw nat 12 config log ip 3.3.3.3 reset same_ports redirect_addr 192.168.2.3 3.3.3.3 ipfw add № 12 ip from 192.168.2.3 to any out xmit bge0 ipfw add № 12 ip from any to 3.3.3.3 in recv bge0 #для остальных только нат ipfw nat 100 config log if bge0 reset same_ports deny_in ipfw add № nat 100 ip from any to any via bge0 вот ето нормальний ответ, спасибо, попробую Название: Re: Реальные IP для клиентов. Отправлено: Elisium от 18 Сентября 2010, 21:27:56 вот ето нормальний ответ, спасибо, попробую Может я не в теме, а чем этот пример, кроме того, что на ядерном нате и раздутого конфига отличается от бината на пф ? Данный вариант решения дает возможность ИЗНУТРИ сети пинговать выданые клиентам внешние ипы ? Название: Re: Реальные IP для клиентов. Отправлено: stix от 18 Сентября 2010, 21:45:06 бинат на пф очень крут
весьма гибко и прозрачно Название: Re: Реальные IP для клиентов. Отправлено: ser970 от 19 Сентября 2010, 08:51:12 Может я не в теме, а чем этот пример, кроме того, что на ядерном нате и раздутого конфига отличается от бината на пф ? Данный вариант решения дает возможность ИЗНУТРИ сети пинговать выданые клиентам внешние ипы ? да дает. на скрине видно что пингование идет с локальгого ипа 192,168,1,222 пинговался клиент с локальнім апи 192,168,5,70 который имеет внешний апи 195,ххх,ууу,132 из мира на чела с апи 195,ххх,ууу,132 (локальній апи 192,168,5,70) я захожу из мира без проблем и по ссн и по веб (80). а он на сетевіе ресурсі по 192,168,5,70. да и собственно я не понимаю вчем пролема что на pf можно настроить тоже что тут.да еще есть куча вариантов. фп хорошая вещь очень мощная - я ее использую тоже но не для ната (спам бутфорси да и прочее ) Название: Re: Реальные IP для клиентов. Отправлено: Elisium от 19 Сентября 2010, 18:11:37 да дает. на скрине видно что пингование идет с локальгого ипа 192,168,1,222 пинговался клиент с локальнім апи 192,168,5,70 который имеет внешний апи 195,ххх,ууу,132 Уже интереснЕе. Нужно будет както попробовать. |